ProHoster > Pūnaewele > Nā Administration > Pehea e kōkua ai ʻo ELK i nā ʻenekini palekana e hakakā i ka hoʻouka kaua pūnaewele a hiamoe maluhia

Pehea e kōkua ai ʻo ELK i nā ʻenekini palekana e hakakā i ka hoʻouka kaua pūnaewele a hiamoe maluhia

ʻO kā mākou kikowaena palekana cyber ke kuleana no ka palekana o ka ʻōnaehana pūnaewele o ka mea kūʻai aku a pale aku i nā hoʻouka kaua ma nā pūnaewele mea kūʻai aku. No ka pale ʻana i nā hoʻouka kaua, hoʻohana mākou i nā FortiWeb Web Application Firewalls (WAFs). Akā ʻo ka WAF maikaʻi loa ʻaʻole ia he panacea a ʻaʻole ia e pale "ma waho o ka pahu" mai nā hoʻouka kaua. 

No laila, ma kahi o WAF, hoʻohana mākou ELK. Kōkua ia i ka hōʻiliʻili ʻana i nā hanana āpau ma kahi hoʻokahi, hōʻiliʻili i nā helu helu, nānā iā ia a hiki iā mākou ke ʻike i kahi hoʻouka kaua i ka manawa.

I kēia lā, e haʻi aku wau iā ʻoe i nā kikoʻī hou aʻe i ko mākou hele ʻana i ka lāʻau Kalikimaka me WAF a me ka mea i loaʻa mai.

Pehea e kōkua ai ʻo ELK i nā ʻenekini palekana e hakakā i ka hoʻouka kaua pūnaewele a hiamoe maluhia

ʻO ka moʻolelo o kahi hoʻouka kaua: pehea i hana ai nā mea āpau ma mua o ka hoʻololi ʻana iā ELK

Ma kā mākou ao, ua kau ka mea kūʻai aku i ka noi ma hope o kā mākou WAF. Mai 10 a 000 mau mea hoʻohana i pili i ka pūnaewele i kēlā me kēia lā, ʻo ka helu o nā pilina i hiki i 100 miliona i kēlā me kēia lā. ʻO kēia mau mea, he 000-20 mau mea hoʻohana i komo a hoʻāʻo e hack i ka pūnaewele. 

ʻO ke ʻano maʻamau maʻamau mai kahi IP IP i pāpā ʻia e FortiWeb maʻalahi. ʻOi aku ka nui o nā hits i ka pūnaewele i kēlā me kēia minuke ma mua o nā mea hoʻohana pono. Hoʻonohonoho wale mākou i nā paepae hana mai hoʻokahi helu wahi a hoʻokuke aku i ka hoʻouka ʻana.

ʻOi aku ka paʻakikī o ka hana ʻana i nā "hoʻouka lohi", ke hana mālie nā mea hoʻouka a hoʻololi iā lākou iho e like me nā mea kūʻai maʻamau. Hoʻohana lākou i nā helu IP kū hoʻokahi. ʻAʻole like ia hana me ka ikaika ʻino nui iā WAF, ʻoi aku ka paʻakikī o ka hahai ʻana iā ia. A aia kekahi pilikia o ke ālai ʻana i nā mea hoʻohana maʻamau. Ua ʻimi mākou i nā hōʻailona ʻē aʻe o ka hoʻouka ʻana a hoʻonohonoho i kahi kulekele no ka pale ʻana i nā helu IP ma muli o kēia hōʻailona. No ka laʻana, he nui nā kau kūpono ʻole i loaʻa nā kahua maʻamau i nā poʻomanaʻo noi http. Pono ʻoe e ʻimi maʻamau i kēlā mau kahua ma nā papa hana FortiWeb. 

Ua lōʻihi a ʻoluʻolu ʻole. Ma ka hana maʻamau o FortiWeb, ua hoʻopaʻa ʻia nā hanana ma ka kikokikona i 3 mau moʻolelo like ʻole: ʻike ʻia nā hōʻeha, ʻike e pili ana i nā noi, a me nā memo ʻōnaehana e pili ana i ka hana WAF. Hiki i nā haneli a i ʻole nā ​​haneli o nā hanana hoʻouka i hoʻokahi minuke.

ʻAʻole nui, akā pono ʻoe e piʻi lima ma waena o nā lāʻau a hoʻololi i nā laina he nui: 

Pehea e kōkua ai ʻo ELK i nā ʻenekini palekana e hakakā i ka hoʻouka kaua pūnaewele a hiamoe maluhia
Ma ka log attack, ʻike mākou i nā helu mea hoʻohana a me ke ʻano o ka hana. 
 
ʻAʻole lawa ka nānā wale ʻana i ka papa kuhikuhi. No ka ʻike ʻana i ka mea hoihoi a me ka pono e pili ana i ke ʻano o ka hoʻouka ʻana, pono ʻoe e nānā i loko o kahi hanana kūikawā:

Pehea e kōkua ai ʻo ELK i nā ʻenekini palekana e hakakā i ka hoʻouka kaua pūnaewele a hiamoe maluhia
Kōkua nā māla i hōʻike ʻia e ʻike i ka "hoʻouka lohi". Puna: screenshot mai Paena pūnaewele Fortinet

ʻAe, ʻo ka pilikia nui ʻo ia wale nō kahi loea FortiWeb hiki ke hoʻomaopopo. Inā ma nā hola ʻoihana hiki iā mākou ke hahai i nā hana kānalua i ka manawa maoli, a laila hiki ke lohi ka hoʻokolokolo ʻana i nā hanana pō. I ka holo ʻole ʻana o nā kulekele FortiWeb no kekahi kumu, ʻaʻole hiki i nā ʻenekini hoʻoneʻe pō ma ka hana ke nānā i ke kūlana me ka ʻole o ke komo ʻana i ka WAF a hoʻāla i ka loea FortiWeb. Ua nānā mākou i nā lāʻau no kekahi mau hola a ʻike mākou i ka manawa o ka hoʻouka ʻana. 

Me ia mau puke o ka ʻike, he paʻakikī ke hoʻomaopopo i ke kiʻi nui i ka nānā ʻana a hana proactively. A laila ua hoʻoholo mākou e hōʻiliʻili i ka ʻikepili ma kahi hoʻokahi i mea e nānā ai i nā mea āpau ma kahi ʻano ʻike, ʻike i ka hoʻomaka o ka hoʻouka ʻana, e ʻike i kona kuhikuhi a me ke ʻano o ka pale ʻana. 

He aha kāu i koho ai

ʻO ka mea mua, ua nānā mākou i nā hoʻonā i hoʻohana ʻia, i ʻole e hoʻonui i nā mea pono ʻole.

ʻO kekahi o nā koho mua Nagiosa mākou e hoʻohana ai e nānā ʻenehana ʻenehana, ʻoihana pūnaewele, makaala pilikia. Hoʻohana pū ka poʻe kiaʻi iā ia e haʻi aku i nā kahu i ka hihia o ke kaʻa kānalua, akā ʻaʻole ʻo ia i ʻike pehea e hōʻiliʻili ai i nā lāʻau i hoʻopuehu ʻia a no laila nalo. 

Aia kahi koho e hōʻuluʻulu i nā mea a pau me MySQL a me PostgreSQL a i ʻole kahi waihona pili pili. Akā, i mea e huki ai i ka ʻikepili, pono e kālai i kāu noi. 

Ma ke ʻano he ʻohi lāʻau i kā mākou hui hoʻohana pū lākou FortiAnalyzer mai Fortinet. Akā i kēia hihia, ʻaʻole ia i kūpono. ʻO ka mea mua, ʻoi aku ka maʻalahi o ka hana ʻana me kahi pā ahi ʻO FortiGate. ʻO ka lua, ua nalowale nā ​​hoʻonohonoho he nui, a ʻo ka launa pū ʻana me ia e pono ai ka ʻike maikaʻi o nā nīnau SQL. A ʻo ke kolu, ʻo kona hoʻohana ʻana e hoʻonui i ke kumukūʻai o ka lawelawe no ka mea kūʻai aku.   

ʻO kēia ke ʻano o mākou i hele mai ai i ke kumu wehe i ka maka ELK

No ke aha e koho ai iā ELK 

ʻO ELK kahi pūʻulu o nā papahana open source:

  • Elasticsearch - kahi waihona o ka manawa, i hana ʻia e hana me ka nui o nā kikokikona;
  • ʻO Logstash - he mīkini hōʻiliʻili ʻikepili hiki ke hoʻololi i nā lāʻau i ke ʻano i makemake ʻia; 
  • kibana - kahi mea nānā maikaʻi, a me kahi pilina aloha maikaʻi no ka hoʻokele ʻana iā Elasticsearch. Hiki iā ʻoe ke hoʻohana iā ia e kūkulu i nā papa hana hiki ke nānā ʻia e nā ʻenekini hana i ka pō. 

He haʻahaʻa ka paepae komo no ELK. He manuahi nā hiʻohiʻona kumu a pau. He aha hou aʻe e pono ai no ka hauʻoli.

Pehea ʻoe i hui pū ai i loko o ka ʻōnaehana hoʻokahi?

Hana ʻia nā indexes a waiho wale i ka ʻike pono. Ua hoʻouka mākou i ʻekolu mau moʻolelo FortiWEB i ELK - ʻo ka mea hoʻopuka he mau kuhikuhi. He mau faila kēia me nā moʻolelo i hōʻiliʻili ʻia no kekahi manawa, no ka laʻana, he lā. Inā mākou e ʻike koke iā lākou, ʻike wale mākou i ka dynamics o nā hoʻouka. No nā kikoʻī, pono ʻoe e "hāʻule" i kēlā me kēia hoʻouka ʻana a nānā i nā kahua kikoʻī.

Pehea e kōkua ai ʻo ELK i nā ʻenekini palekana e hakakā i ka hoʻouka kaua pūnaewele a hiamoe maluhia

Ua ʻike mākou ʻo ka mea mua pono mākou e hoʻonohonoho i ka parsing o ka ʻike i kūkulu ʻole ʻia. Lawe mākou i nā māla lōʻihi ma ke ʻano he mau kaula, e like me "Message" a me "URL", a hoʻopaʻa iā lākou no ka loaʻa ʻana o ka ʻike hou aku no ka hoʻoholo ʻana. 

No ka laʻana, me ka hoʻohana ʻana i ka parsing, lawe kaʻawale mākou i kahi o ka mea hoʻohana. Ua kōkua koke kēia i ka hoʻouka ʻana mai nā ʻāina ʻē ma nā pūnaewele no nā mea hoʻohana Lūkini. Ma ka pale ʻana i nā pilina a pau mai nā ʻāina ʻē aʻe, ua hōʻemi mākou i ka nui o nā hoʻouka ʻana ma 2 mau manawa a hiki ke maʻalahi i ka hoʻouka ʻana i loko o Rūsia. 

Ma hope o ka pau ʻana, hoʻomaka lākou e ʻimi i ka ʻike e mālama ai a nānā. ʻAʻole kūpono ka haʻalele ʻana i nā mea a pau i loko o ka log: ʻo ka nui o kahi index he nui - 7 GB. Ua lōʻihi ka hana ʻana o ELK i ka faila. Akā naʻe, ʻaʻole pono nā ʻike āpau. Hoʻopili ʻia kekahi mea a hoʻonui i ka nui - pono e hoʻonui. 

I ka wā mua, nānā wale mākou i ka index a wehe i nā hanana pono ʻole. Ua lilo kēia i mea paʻakikī a ʻoi aku ka lōʻihi ma mua o ka hana ʻana me nā lāʻau ma FortiWeb ponoʻī. ʻO ka mea hoʻohui wale nō mai ka "lāʻau Kalikimaka" i kēia manawa ua hiki iā mākou ke nānā i kahi manawa nui ma ka pale hoʻokahi. 

ʻAʻole mākou i hopohopo, hoʻomau mākou i ka ʻai ʻana i ka cactus a aʻo i ka ELK a manaʻoʻiʻo e hiki iā mākou ke unuhi i ka ʻike e pono ai. Ma hope o ka hoʻomaʻemaʻe ʻana i nā indexes, hoʻomaka mākou e nānā i ka mea. No laila ua hele mākou i nā dashboards nui. Hoʻopili mākou i nā widget - me ka nani a me ka nani, he ЁLKa maoli! 

Pehea e kōkua ai ʻo ELK i nā ʻenekini palekana e hakakā i ka hoʻouka kaua pūnaewele a hiamoe maluhia

Hopu i ka manawa o ka hoouka. I kēia manawa, pono e hoʻomaopopo i ke ʻano o ka hoʻomaka ʻana o ka hoʻouka ʻana ma ka pakuhi. No ka ʻike ʻana, nānā mākou i nā pane a ke kikowaena i ka mea hoʻohana (nā code hoʻihoʻi). Ua hoihoi mākou i nā pane kikowaena me ia mau code (rc): 

Code (rc)

Inoa

hōʻikeʻano

0

MANUAHI

Ua ālai ʻia ka noi i ke kikowaena

200

Ok

Ua holo pono ke noi

400

Tino kikino

Noi ino

403

papaia

Hōʻole ʻia ka mana

500

Kuhi Kikowaena Pūnaewele

ʻAʻole loaʻa ka lawelawe

Inā hoʻomaka kekahi e hoʻouka i ka pūnaewele, ua loli ka lakio o nā code: 

  • Inā he nui nā noi hewa me ka code 400, a me ka helu like o nā noi maʻamau me ka code 200, a laila e hoʻāʻo ana kekahi e hack i ka pūnaewele. 
  • Inā, i ka manawa like, ua ulu pū nā noi me ka code 0, a laila "ʻike" ka poʻe kālai'āina FortiWeb i ka hoʻouka ʻana a kau i nā poloka iā ia. 
  • Inā hoʻonui ʻia ka helu o nā memo me ke code 500, a laila ʻaʻole i loaʻa ka pūnaewele no kēia mau IP address - he ʻano pale. 

Ma ke kolu o ka mahina, ua hoʻonohonoho mākou i kahi papa kuhikuhi no ka hahai ʻana i kēia hana.

Pehea e kōkua ai ʻo ELK i nā ʻenekini palekana e hakakā i ka hoʻouka kaua pūnaewele a hiamoe maluhia

I ʻole e nānā pono i nā mea āpau, hoʻonohonoho mākou i ka hoʻohui ʻana me Nagios, nāna i koho iā ELK i kekahi mau manawa. Inā hoʻopaʻa ʻo ia i ka loaʻa ʻana o nā waiwai paepae e nā code, ua hoʻouna ʻo ia i kahi leka i nā luna hana e pili ana i ka hana kānalua. 

Hoʻohui ʻia nā pakuhi 4 i ka ʻōnaehana nānā. I kēia manawa he mea nui e ʻike ma nā pakuhi i ka manawa i pale ʻole ʻia ai ka hoʻouka ʻana a pono ke komo ʻana o kahi ʻenekinia. Ma nā kiʻi like ʻole 4, ua pōwehiwehi ko mākou maka. No laila, hoʻohui mākou i nā pakuhi a hoʻomaka mākou e nānā i nā mea āpau ma ka pale hoʻokahi.

Ma ka nānā ʻana, nānā mākou i ka loli ʻana o nā kiʻi like ʻole. Ua hōʻike ʻia ka poha ʻulaʻula ua hoʻomaka ka hoʻouka ʻana, ʻoiai nā kiʻi ʻalani a me ka polū e hōʻike ana i ka pane ʻana o FortiWeb:

Pehea e kōkua ai ʻo ELK i nā ʻenekini palekana e hakakā i ka hoʻouka kaua pūnaewele a hiamoe maluhia
Maikaʻi nā mea a pau ma ʻaneʻi: ua piʻi ka hana "ʻulaʻula", akā ua hoʻopaʻa ʻo FortiWeb a lilo ka papa hoʻouka kaua i mea ʻole.

Ua kahakiʻi pū mākou no mākou iho i kekahi laʻana o ka pakuhi e pono ai ke komo ʻana:

Pehea e kōkua ai ʻo ELK i nā ʻenekini palekana e hakakā i ka hoʻouka kaua pūnaewele a hiamoe maluhia
Maʻaneʻi hiki iā mākou keʻike ua hoʻonuiʻo FortiWeb i ka hana, akā,ʻaʻole i emi iho ka pakuhi hōʻehaʻulaʻula. Pono ʻoe e hoʻololi i nā hoʻonohonoho WAF.

Ua maʻalahi hoʻi ka ʻimi ʻana i nā hanana pō. Hōʻike koke ka pakuhi i ka manawa e hiki mai ai i ka pale o ka pūnaewele. 

Pehea e kōkua ai ʻo ELK i nā ʻenekini palekana e hakakā i ka hoʻouka kaua pūnaewele a hiamoe maluhia
ʻO ia ka hana i kekahi manawa i ka pō. Kiʻi ʻulaʻula - ua hoʻomaka ka hoʻouka ʻana. Polū - hana FortiWeb. ʻAʻole paʻa loa ka hoʻouka ʻana, pono mākou e komo.

Ma hea mākou e hele ai

I kēia manawa, ke aʻo nei mākou i nā luna hoʻomalu e hana pū me ELK. Aʻo ka poʻe lawelawe e loiloi i ke kūlana ma ka dashboard a hoʻoholo: ʻo ka manawa kēia e piʻi ai i kahi loea FortiWeb, a i ʻole e lawa nā kulekele ma ka WAF e hoʻokuʻu koke i ka hoʻouka ʻana. No laila, hoʻemi mākou i ka ukana ma luna o nā ʻenekini palekana ʻike i ka pō a hoʻokaʻawale i nā kuleana i ke kākoʻo ma ka pae ʻōnaehana. Loaʻa ka loaʻa ʻana iā FortiWeb me ke kikowaena palekana cyber, a hoʻololi wale lākou i nā hoʻonohonoho WAF i ka wā e pono ai.

Ke hana pū nei mākou i ka hōʻike ʻana no nā mea kūʻai aku. Hoʻolālā mākou e loaʻa ka ʻikepili i ka dinamika o ka hana WAF ma ka moʻokāki pilikino o ka mea kūʻai. E hoʻomaʻamaʻa ʻo ELK i ke kūlana me ka ʻole pono e kuhikuhi i ka WAF ponoʻī.

Inā makemake ka mea kūʻai aku e nānā i ko lākou pale ponoʻī i ka manawa maoli, e hele mai nō hoʻi ʻo ELK. ʻAʻole hiki iā mākou ke hāʻawi i ke komo i ka WAF, no ka mea hiki ke hoʻopili ʻia ke koena o ka mea kūʻai aku i ka hana. Akā hiki iā ʻoe ke kiʻi i kahi ELK kaʻawale a hāʻawi iā ia e "pāʻani a puni". 

ʻO kēia nā hiʻohiʻona no ka hoʻohana ʻana i ke kumulāʻau Kalikimaka a mākou i hōʻiliʻili ai i kēia mau lā. Kaʻana like i kou manaʻo no kēia a mai poina hoʻonohonoho pono i nā mea a pauno ka pale ʻana i ka lepa waihona. 

Source: www.habr.com